Bei Big Data Analysen rechtlich sauber?

Dr. Thomas Jansen,

Speziell die IT besitzt häufig die Hoheit über sehr große Datenbestände. Daher wir sie auch meist damit betraut, diese Daten auf geschäftskritische Informationen zu prüfen und zu analysieren. In Kenntnis der wichtigsten Rechtsaspekte zu Big Data, kein Problem.

 

1. Frage: Muss man klären, wem die Daten gehören?

Im Gegensatz zu Sachen besteht an Daten kein zivilrechtliches Eigentum. Genau genommen “gehören” die Daten also niemandem, auch nicht demjenigen, der Daten erstellt hat (z.B. Ersteller von Nutzerkommentaren in Social Media) oder auf den sich Daten beziehen (z.B. Inhaber einer Email-Adresse). Das Recht schützt aber auf andere Weise vor der unberechtigten Verwendung fremder Daten.

2. Frage: Wer darf sie zu welchen Zwecken überhaupt analysieren und auswerten?

Eine Analyse und Auswertung fremder Daten ist erlaubt, wenn eine ausdrückliche Einwilligung vorliegt. Wenn eine solche Einwilligung nicht erteilt wurde, hängt es davon ab,

  • um welche Art von Daten es sich handelt.
  • zu welchem Zweck die Daten analysiert und ausgewertet werden

 

3. Frage: Welche Paragraphen, Rechtsaspekte sind bei Big Data Analysen generell zu beachten?

Beim Zugriff auf fremde Datenbanken können wettbewerbs- und leistungsschutzrechtliche Fragestellungen berührt sein. Dies kann jedoch nur im konkreten Fall beurteilt werden; vor allem sind datenschutzrechtliche Anforderungen zu berücksichtigen.Grundsätzlich gelten für Big Data Analysen dieselben Anforderungen wie für “gewöhnliche” Datenverwendungen: Werden personenbezogene Daten (z.B. Anschrift, Email-Adresse) analysiert, sind die Vorschriften des Bundesdatenschutzgesetzes (BDSG) zu beachten. Demnach dürfen personenbezogene Daten grundsätzlich nur erhoben, gespeichert oder genutzt werden, wenn der Betroffene einwilligt oder eine Rechtsvorschrift dies gestattet. Außerdem gelten dann der Zweckbindungsgrundsatz sowie die Prinzipien der Datenvermeidung und Datensparsamkeit.

Gerade der Personenbezug kann jedoch bei Big Data-Anwendungen Fragen aufwerfen: Daten, die ursprünglich anonym oder pseudonym erhoben wurden (z.B. Standortdaten, Daten über das Einkaufsverhalten), können nämlich unter Umständen durch zusätzliche Daten und technische Verfahren wieder einer bestimmten Person zugeordnet werden.

 

4. Frage:  Wie muss man hinsichtlich spezifischer Arten von Daten vorgehen?

4.1             Kundendaten, Einzelpersonendaten

Kundendaten wie Anschrift, Kontakt- und Zahlungsdaten sind personenbezogene Daten im Sinne des BDSG. Sie dürfen daher gem. § 4 BDSG nur erhoben, gespeichert oder genutzt werden, wenn der Betroffene einwilligt oder eine Rechtsvorschrift dies gestattet.

4.2             Daten zu Vertragszwecken

Die wichtigste Vorschrift in diesem Zusammenhang ist § 28 Abs. 1 Satz 1 Nr. 1 BDSG: Die Datenerhebung und -speicherung für eigene Geschäftszwecke ist erlaubt, wenn dies für die Begründung, Durchführung oder Beendigung eines Vertrages erforderlich ist. Das heißt, während einer laufenden Vertragsbeziehung dürfen personenbezogene Daten ohne weiteres gespeichert werden. Das heißt aber auch, dass eine Datenspeicherung oder -verwendung über diesen Zeitraum hinaus grundsätzlich unzulässig ist, wenn nicht eine entsprechende ausdrückliche Einwilligung vorliegt.

4.3             Daten zu Werbezwecken

Die Verwendung personenbezogener Daten zu Werbezwecken wird von § 28 Abs. 3 BDSG geregelt. Demnach ist die Verwendung personenbezogener Daten zum Zweck der Eigenwerbung unter folgenden Voraussetzungen zulässig:

        Die Daten sind nach Personengruppen zusammengefasst und beschränken sich auf

        die Zugehörigkeit des Betroffenen zu dieser Personengruppe,

        seine Berufs- Branchen- oder Geschäftsbezeichnung,

        Namen, Titel, akademischen Grad,

        Anschrift und

        Geburtsjahr.

Sobald dieser Rahmen überschritten wird, ist eine Einwilligung des Betroffenen erforderlich.

4.4           Standortdaten, die ausgewertet werden

Für Standortdaten gilt ebenfalls: Sobald der Bezug zu einer einzelnen Person hergestellt werden kann, ist die Datenverwendung nur bei Vorliegen einer Einwilligung oder gesetzlichen Erlaubnis zulässig.

In den meisten Fällen wird die Erhebung personenbezogener Standortdaten nicht erforderlich für die Vertragsdurchführung sein und daher eine Einwilligung des Betroffenen voraussetzen.

 

5. Frage: Wie kann generell ein rechtlich sauberer Umgang bei der Datenanalyse sichergestellt werden?

5.1            Anonymisierung

Das BDSG findet auf anonyme Daten keine Anwendung. Daher ist eine Anonymisierung die richtige Methode, um Verstöße gegen das Datenschutzrecht zu vermeiden. Wie bereits erwähnt, kann es aber bei Big Data schwierig sein, eine wirksame Anonymisierung zu gewährleisten.

Nach § 3 Abs. 6 BDSG sind Daten nur dann anonym, wenn “die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand […] einer bestimmten […] Person zugeordnet werden können.” Der Begriff der (Un-)Verhältnismäßigkeit ist Auslegungssache und hängt vom Einzelfall ab, wobei die Datenschutzbehörden einen strengen Maßstab anlegen. Mit dem technischen Fortschritt wird es außerdem einfacher, den Personenbezug wieder herzustellen, d.h. Daten zu re-anonymisieren.

Diese Re-Anonymisierung können Big Data-Anwender vermeiden, indem sie Anonymisierungsverfahren nach aktuellem Stand der Technik verwenden. Dies kann die Löschung von Identifikationsmerkmalen oder die Aggregation von Merkmalen sein. Aggregation bedeutet beispielsweise die Ersetzung der genauen Adresse durch eine weiträumigere Gebietsangabe. Dabei ist zu beachten, dass der Personenbezug nicht durch andere Angaben wiederhergestellt werden kann, und zwar weder durch im Datenbestand enthaltene noch durch allgemein zugängliche Angaben.

Außerdem dürfen anonymisierte Daten nicht unbedacht an Dritte weitergegeben werden. Wenn nämlich diese Dritte über Zusatzwissen verfügen, um den Personenbezug wieder herzustellen, liegt eine datenschutzrechtlich relevante Übermittlung vor, die den Anforderungen der §§ 28, 29 BDSG unterliegt (Erforderlichkeit, berechtigtes Interesse).

5.2           Pseudonymisierung

Eine Pseudonymisierung von Daten schließt die Anwendbarkeit des BDSG nicht vollständig aus: Für den Inhaber des Zuordnungsschlüssels bleiben die Daten nämlich personenbezogen. Die Daten können jedoch weitergegeben werde und sind dann für den neuen Inhaber anonym – vorausgesetzt, dieser erlangt keine Kenntnis vom Zuordnungsschlüssel.

Nur für Internet-Nutzungsprofile gilt die Sondervorschrift des § 15 Abs. 3 TMG. Danach ist die Erstellung von pseudonymen Nutzungsprofilen zulässig, wenn der Nutzer dem nicht widerspricht und er auch vor der Nutzung auf die Möglichkeit des Widerspruchs hingewiesen wurde. Unter diesen Voraussetzungen können beispielsweise Tracking-Tools rechtskonform betrieben werden.

5.3           Einwilligung

Wenn eine wirksame Einwilligung des Betroffenen vorliegt, ist die Datenverwendung im Umfang dieser Einwilligung erlaubt.  Gem. § 4a BDSG besteht grundsätzlich das Erfordernis der Schriftform; abhängig von etwa bestehenden Vertragsbeziehungen kann die Einwilligung auch mittels Opt-in-Formular im Internet oder per Email erteilt werden. Wichtig ist dabei, dass die Einwilligung ausdrücklich erteilt wird und nicht in Allgemeinen Geschäftsbedingungen “versteckt” ist. Sie muss sich außerdem immer auf einen genau bezeichneten Zweck der Datenverwendung beziehen. Spätere Zweckänderungen oder -erweiterungen sind hingegen nicht mehr gedeckt. Dies dürfte Big Data Analysen auf der Grundlage von Einwilligungen stark erschweren.

Je nach Art der Big Data Anwendung ist daher die Anonymisierung oder die Einholung der Einwilligung von jedem einzelnen Betroffenen die Lösung für den rechtmäßigen Umgang mit fremden Daten.